Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-10130

Опубликовано: 30 июл. 2019
Источник: nvd
CVSS3: 3.1
CVSS3: 4.3
CVSS2: 4
EPSS Низкий

Уязвимость утечки информации о наиболее популярных значениях столбцов в PostgreSQL из-за некорректной проверки политики безопасности строк

Описание

В PostgreSQL выявлена уязвимость, связанная с тем, как система обрабатывает статистику столбцов таблиц. Некоторые статистические данные, такие как гистограммы и списки наиболее часто встречающихся значений, содержат значения, взятые из столбца. PostgreSQL не оценивает политики безопасности строк перед обращением к этой статистике во время планирования запросов; злоумышленник может воспользоваться этим, чтобы прочитать наиболее часто встречающиеся значения определенных столбцов. Затронутые столбцы — это те, для которых у злоумышленника есть привилегия SELECT и для которых, в обычном запросе, безопасность на уровне строк сокращает набор строк, видимых злоумышленнику.

Затронутые версии ПО

  • PostgreSQL версии 11.x вплоть до, исключая 11.3
  • PostgreSQL версии 10.x вплоть до, исключая 10.8
  • PostgreSQL версии 9.6.x вплоть до, исключая 9.6.13
  • PostgreSQL версии 9.5.x вплоть до, исключая 9.5.17

Тип уязвимости

Утечка информации

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
Версия от 9.5.0 (включая) до 9.5.17 (исключая)
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
Версия от 9.6.0 (включая) до 9.6.13 (исключая)
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
Версия от 10.0 (включая) до 10.8 (исключая)
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
Версия от 11.0 (включая) до 11.3 (исключая)
Конфигурация 2
cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*

EPSS

Процентиль: 40%
0.00176
Низкий

3.1 Low

CVSS3

4.3 Medium

CVSS3

4 Medium

CVSS2

Дефекты

CWE-284
CWE-284

Связанные уязвимости

ubuntu логотип

CVE-2019-10130

CVSS3: 4.3
ubuntu
почти 6 лет назад

A vulnerability was found in PostgreSQL versions 11.x up to excluding 11.3, 10.x up to excluding 10.8, 9.6.x up to, excluding 9.6.13, 9.5.x up to, excluding 9.5.17. PostgreSQL maintains column statistics for tables. Certain statistics, such as histograms and lists of most common values, contain values taken from the column. PostgreSQL does not evaluate row security policies before consulting those statistics during query planning; an attacker can exploit this to read the most common values of certain columns. Affected columns are those for which the attacker has SELECT privilege and for which, in an ordinary query, row-level security prunes the set of rows visible to the attacker.

redhat логотип

CVE-2019-10130

CVSS3: 3.1
redhat
около 6 лет назад

A vulnerability was found in PostgreSQL versions 11.x up to excluding 11.3, 10.x up to excluding 10.8, 9.6.x up to, excluding 9.6.13, 9.5.x up to, excluding 9.5.17. PostgreSQL maintains column statistics for tables. Certain statistics, such as histograms and lists of most common values, contain values taken from the column. PostgreSQL does not evaluate row security policies before consulting those statistics during query planning; an attacker can exploit this to read the most common values of certain columns. Affected columns are those for which the attacker has SELECT privilege and for which, in an ordinary query, row-level security prunes the set of rows visible to the attacker.

debian логотип

CVE-2019-10130

CVSS3: 4.3
debian
почти 6 лет назад

A vulnerability was found in PostgreSQL versions 11.x up to excluding ...

suse-cvrf логотип

openSUSE-SU-2019:1668-1

suse-cvrf
почти 6 лет назад

Security update for postgresql96

suse-cvrf логотип

openSUSE-SU-2019:1578-1

suse-cvrf
около 6 лет назад

Security update for postgresql10

EPSS

Процентиль: 40%
0.00176
Низкий

3.1 Low

CVSS3

4.3 Medium

CVSS3

4 Medium

CVSS2

Дефекты

CWE-284
CWE-284